Wireshark 常用过滤使用方法
文章目录
- 一、常用过滤方法
- 二、常用的使用方式
- 三、TCP 连接:SYN,ACK,RST,UTG,PSH,FIN
一、常用过滤方法
- 过滤源 ip、目的 ip
在 wireshark 的过滤规则框 Filter 中输入过滤条件。
如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;
查找源地址为ip.src==1.1.1.1 - 端口过滤
如过滤 80 端口,在 Filter 中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。
使用tcp.dstport==80只过滤目的端口为 80 的,tcp.srcport==80只过滤源端口为 80 的包 - 协议过滤
比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议 - http 模式过滤
如过滤 get 包,http.request.method=="GET",过滤 post 包,http.request.method=="POST" - 连接符 and 的使用
过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http
二、常用的使用方式
- 调整时间格式
根据时间字段,然后再排序下
- 根据端口过滤
服务端端口是 7018,和客户端建立socket连接,根据服务端的端口找到2者通信的所有socket数据(客户端进入房间后会异常断开,判断是客户端导致的还是服务端导致的)
tcp.port==7018,最后的RST报文是服务端发起的,说明是服务端主动断开的,缩小问题范围
仅从抓包信息看是服务器的一个流量控制机制启动了。服务器发回rst位,同时win置为0,是告诉客户端不要发包。按tcp流控机制来说,此时客户端应该停止发包,直至服务器发送信息告诉客户端可以继续发送。
三、TCP 连接:SYN,ACK,RST,UTG,PSH,FIN
三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;
接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手;
最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手。之后,一个TCP连接建立,开始通讯。
*SYN:同步标志
同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。
在这里,可以把 TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。
在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
*ACK:确认标志
确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure-1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
*RST:复位标志
复位标志有效。用于复位相应的TCP连接。
*URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,
*PSH:推标志
该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时,该标志总是置位的。
*FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。
TCP的几个状态对于我们分析所起的作用。在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有 DATA数据传输,RST表示连接重置。
其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。
TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。
RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;
而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。
PSH为1的情况,一般只出现在DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。
Wireshark 常用过滤使用方法相关推荐
- Wireshark常用过滤使用方法
过滤源ip.目的ip. 在wireshark的过滤规则框Filter中输入过滤条件.如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8:查找源地址为ip.src ...
- WireShark常用过滤规则
一.地址过滤 对源地址及目的地址过滤 ip.src == 192.168.0.1 ip.dst == 192.168.0.1 对源地址或者目的地址过滤 ip.addr == 192.168.0.1 排 ...
- wireshark常用过滤条件
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.1 ...
- Wireshark抓包及常用过滤方法
一.抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓包的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /op ...
- Wireshark 实用篇2:Wireshark 抓包常用过滤命令
目录 前言 正文 一.根据 IP 地址过滤 二.根据端口过滤 三.根据协议过滤 四.根据 Payload Type 条件过滤 五.根据组合条件过滤 六.实例分析 前言 使用 Wireshark 工具进 ...
- Panabit镜像功能配合wireshark抓包的方法
Panabit镜像功能配合wireshark抓包的方法 Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情.下面就和大家说一下如何捕获网络应用的数据包. 到 ...
- 前端:JS实现数组去重常用的六种方法介绍
今天给大家分享JS实现数组去重常用的六种方法,希望对大家能有所帮助! 定义变量 let arr = [20,6,13,20,100,8,13,11]; let newArr = []; 1.两层循环去 ...
- Python基础总结之常用内置方法总结
文章目录 前言 1.str 1.1.内置方法: 1.2.常用的内置方法 1.3.String模块的一些方法 2.list 2.1.内置方法 2.2.常用内置方法 3.tupple 3.1.内置方法 3 ...
- 在Wireshark中过滤数据包
介绍 数据包过滤可让你专注于你感兴趣的确定数据集.如你所见,Wireshark 默认会抓取所有数据包.这可能会妨碍你寻找具体的数据. Wireshark 提供了两个功能强大的过滤工具,让你简单而无痛地 ...
最新文章
- AcWing 2983. 玩具 / POJ 2318.toys(计算几何基础、二分、判断点和直线的位置关系)
- Unbuntu 终端中使用Tab键不能自动补全
- sqlserver 两表联查去重_去山东省(烟台)必吃“特色”小吃 ,舌尖5大美食享受!...
- 安装nvidia-docker2
- 华为手机鸿蒙系统怎么样_华为自研操作系统“鸿蒙”已用于华为手机
- 1064金明的预算方案
- .net core精彩实例分享 -- 反射与Composition
- Java中condition的用法_java5 Condition用法--实现线程间的通信
- 变换型设计与事务型设计
- 百度地图经纬度获取标点与城市编码
- python获取当前工作路径
- 接口流量突增,如何做好性能优化?
- 红孩儿编辑器的核心控制子系统的函数依赖关系图
- 大学专业有C语言专业吗,大学里哪些专业开设C语言、数电、模电、单片机、嵌入式等课程?...
- MP | 东农吴凤芝/南农韦中-根系分泌物介导的植物种间互作塑造了根际微生物组抑病力...
- 目前以太网主要采用什么连接计算机,目前以太网主要采用______连接计算机,计算机能够独享带宽...
- HarmonyOS荣耀8x,不忘老机型 荣耀9X系列被曝今年将升级HarmonyOS
- 虹科网络流量监控软件解决方案(二)-- 网络探针nProbe
- RabbitMQ-direct直通模式
- 985高校吐槽大会……